Personenbezogene Daten in der Cloud

Das Thema Personenbezogene Daten in der Cloud hat mindestens zwei Perspektiven. Da ist die Perspektive des Endanwenders, wo wir als Benutzer uns fragen, ob unsere Daten in der Cloud sicher sind. Und dann gibt es die Unternehmensperspektive. Stellen Sie sich vor, Sie möchten einen Cloud-basierten Service anbieten und dabei personenbezogene Daten von Endanwendern in der Cloud speichern. Welche Dinge sind dabei zu beachten? In diesem Artikel wenden wir uns der Unternehmensperspektive zu. Natürlich können wir hier die Frage nicht erschöpfend beantworten. Stattdessen beschränken wir uns auf die Betrachtung einiger rechtlicher Aspekte.

Eine der Grundideen von Cloud Computing besteht darin, dass Benutzer nicht wissen müssen, wo ihre Daten gespeichert sind. Die Server, die diese Daten tragen, können irgendwo auf der Welt stehen. Da sich Cloud Computing von den USA aus entwickelt hat, ist es kein Zufall, dass die meisten Unternehmen, die Clouddienste anbieten, aus den USA stammen, und auch die viele Rechenzentren dort zu finden sind. Mittlerweile kann man aber auch die Eröffnung von Rechenzentren in Asien und Europa beobachten.

Wenn die in solchen Rechenzentren abgelegten Daten personenbezogene Daten sind, kann es hier zu Problemen kommen, weil es in der Welt sehr unterschiedliche Auffassungen zum Umgang mit personenbezogenen Daten gibt. Tatsächlich wird nicht einmal der Begriff personenbezogene Daten überall gleich interpretiert. Die Europäische Union ist schon seit langem Vorreiter in Sachen Datenschutz und hat entsprechend die schärfsten Bestimmungen zum Umgang mit personenbezogenen Daten durch Behörden, Verwaltungen und private Unternehmen. Die Basis dazu stellt die Datenschutz-Richtlinie der EU dar.

Diese Richtlinie verbietet unter anderem den Export von personenbezogenen Daten in Staaten oder Organisationen, die nicht ein mindestens gleichwertiges Datenschutzniveau wie das der EU bieten. Wie können wir also verhindern, dass wir beim Speichern personenbezogener Daten in der Cloud die Datenschutzrichtlinie verletzen? Um diese Frage zu beantworten, müssen wir erst einmal verstehen, was gemäß der Richtlinie personenbezogene Daten sind.

Personenbezogene Daten

Die EU-Richtlinie verwendet einen sehr weiten Begriff von personenbezogenen Daten, und dies mit Absicht. Wörtlich heißt es dort: „Im Sinne dieser Richtlinie bezeichnet der Ausdruck `personenbezogene Daten´ alle Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;“ (Art. 2 (a)). Typische Beispiele für personenbezogene Daten sind Adressen, Bankkonto- oder Kreditkarteninformationen, Patientenakten, Vorstrafenregister, Personalakten in Unternehmen und Ähnliches.

Die Verwendung personenbezogener Daten ist von den folgenden drei Grundprinzipien bestimmt: Transparenz, legitimer Zweck und Proportionalität. Transparenz verlangt im Wesentlichen, dass Personen, deren Daten verwendet werden, ihre Zustimmung geben und informiert werden müssen, welche Daten wann zu welchem Zweck erhoben wurden.  Legitimer Zweck bedeutet, dass die Daten nur für den Zweck verwenden werden dürfen, dem die Personen zugestimmt haben. Proportionalität verlangt, dass nur die für den legitimen Zweck wirklich erforderlichen Daten erhoben werden, und dass die Daten auf aktuellem Stand gehalten werden.

Die Richtlinie ist als Bundesdatenschutzgesetz in deutsches Recht überführt. Genauer gesagt teilweise. Der Europäische Gerichtshof monierte im März diesen Jahres die Umsetzung als in Teilen  mit der Richtlinie nicht vereinbar. Die betreffenden Teile (Rechtsaufsicht der Datenschutzbeauftragten der Länder) sind aber für unsere Betrachtung nicht relevant.

Nun, da wir den Begriff der personenbezogenen Daten ein wenig besser verstehen, können wir uns mögliche Lösungen zum Datenschutzproblem beim Speichern von Daten in der Cloud ansehen.

Keine Lösung: Das Safe Harbor Abkommen

Als die Richtlinie Mitte der 1990er Jahre in Kraft trat, gab es natürlich schon regelmäßig Austausch personenbezogener Daten zwischen der EU und dritten Staaten, insbesondere den USA, und die Kommission war sich darüber auch im Klaren. Daher wurde das so genannte Safe Harbor Datenschutzprogramm gestartet. Dieses Programm erlaubt es US-Firmen, für sich selbst zu überprüfen, ob ihr Datenschutzverhalten der Richtlinie entspricht, und sich bei positiver Antwort selbst als sicherer Hafen für Daten zu zertifizieren. Das Problem besteht natürlich darin, dass die Unternehmen die Überprüfung und Zertifizierung selbst vornehmen. Die EU Kommission hat deshalb mehrere Untersuchungen zur Qualität dieser Selbstzertifizierungen durchführen lassen. Diese Untersuchungen haben festgestellt, dass die Qualität sehr niedrig ist. Die letzte Untersuchung , durchgeführt 2008, ergab, dass aus der zum damaligen Zeitpunkt 1.600 selbst zertifizierten US-Unternehmen umfassenden Liste gerade einmal 3% tatsächlich die Datenschutzbestimmungen der Richtlinie einhielten. Auf diese Zertifikate ist also kein Verlass.

Und dies umso weniger, als deutsche Behörden mittlerweile auf das Ergebnis der Untersuchung reagiert haben. Der so genannte Düsseldorfer Kreis , die informelle Vereinigung der obersten Datenschutzbehörden in Deutschland, erklärte im April 2010, dass sich Daten exportierende Unternehmen nicht auf Safe Harbor Zertifikate verlassen dürfen, sondern überprüfen müssen, ob die empfangenden Unternehmen die Datenschutzrichtlinie beachten. Im Effekt bedeutet dies, dass das Daten exportierende Unternehmen die Überprüfung des empfangenden Unternehmens durchführen und dokumentieren muss, quasi zur Zertifizierungsinstanz wird. Mit anderen Worten, es ist anzunehmen, dass das Daten exportierende Unternehmen die rechtliche Verantwortung für die korrekte Speicherung und Verwendung personenbezogener Daten durch das importierende Unternehmen übernimmt. Das ist offensichtlich nicht leistbar. Wie sollte etwa ein deutscher Mittelständler Internetgiganten wie Google oder Microsoft überprüfen, deren Rechtsabteilungen alleine mehr Mitarbeiter haben als das deutsche Unternehmen insgesamt? Wir sehen also,

• dass wir das Safe Harbor Abkommen nicht als Lösung des ursprünglichen Problems betrachten können.
• Es scheint auch nicht empfehlenswert, personenbezogene Daten an Unternehmen zu transferieren, die sich selbst als Safe Harbor zertifiziert haben.

Einfache Lösung: Zuhause bleiben

Eine Reihe von US Unternehmen, die Clouddienste anbieten, haben mittlerweile erkannt, dass ihre potentiellen Unternehmenskunden aus der EU ein Problem mit dem Export von personenbezogenen Daten haben. Um ihr Geschäft in der EU auszuweiten, haben diese Unternehmen begonnen, in der EU Rechenzentren aufzubauen. Firmen wie Amazon, Google und Microsoft bieten ihren Kunden heutzutage an, sich die geographische Lage der Rechenzentren, die ihre Daten aufnehmen sollen, auszusuchen. Das ist mehr oder weniger die einfachste Lösung. Einige Firmen, unter ihnen Amazon, Google und Microsoft, betreiben mittlerweile sogar mehr als ein Rechenzentrum in der EU für Kunden, die auch ein Ausfallrechenzentrum benötigen.

Technische Lösung: Depersonalisierung der Daten

Es gibt wohlmöglich noch eine andere Lösung in Fällen, in denen der Cloudserviceanbieter keine Rechenzentren in der EU betreibt. Die Richtlinie verzichtet bewusst auf einen expliziten Katalog von personenbezogenen Daten, sondern definiert solche Daten allgemein als Datensätze, die zur Identifikation einer einzelnen Person verwendet werden können. Diese abstrakte Definition lässt eine technische Lösung des Problems zu. Und zwar kann man die Daten verschlüsseln. Dabei sollten die folgenden Bedingungen erfüllt sein.

• Alle personenbezogenen Daten müssen verschlüsselt werden.
• Es muss für jeden einzelnen Kunden ein individueller Schlüssel verwendet werden.
  Eine Lösung, bei der der Cloudservieanbieter für alle seinen Kunden ein und denselben Schlüssel verwendet, bietet keine ausreichende Sicherheit.
• Der Kunde und nur er darf imstande sein, die Daten zu entschlüsseln.
• Die Schlüssel müssen in der EU verbleiben.

Methoden, die sich an diese Empfehlungen halten, depersonalisieren Daten effektiv. Nun, da die Daten nicht mehr personenbezogen sind, unterliegen sie auch nicht mehr der Datenschutzrichtlinie. Also können sie in jedem Rechenzentrum der Welt abgelegt werden. Man kann am §30 des Bundesdatenschutzgesetztes erkennen, dass auch der deutsche Gesetzgeber möglicherweise bereits an eine solche Lösung gedacht hat. Die dort beschriebenen Fälle treffen unsere Situation zwar nicht exakt, sind ihr aber erkennbar ähnlich.

Zusammenfassung

Da das Safe Harbor Abkommen zumindest derzeit als gescheitert betrachtet werden sollte, verbietet die EU Datenschutzrichtlinie letztlich den Export personenbezogener Daten aus der EU. Als Konsequenz sollte man eine gewisse Vorsicht walten lassen, wenn man daran denkt, personenbezogene Daten in die Cloud zu transferieren, da das Prinzip der Datenspeichervirtualisierung, ein Schlüsselkonzept im Cloud Computing, in direktem Gegensatz zum Datenexportverbot steht.

Glücklicherweise gibt es für das Problem zwei Lösungen, die uns erlauben, die Richtlinie zu beachten, und uns trotzdem die Vorteile der Datenspeicherung in der Cloud zu nutzen. Die eine besteht darin, einen Cloudservicedienstleister auszuwählen, der seinen Kunden das Speichern der Daten in Rechenzentren in der EU ermöglicht. Die zweite besteht in einer Depersonalisierung der Daten, sodass diese nun legal überall hin exportiert werden können.